По следам The Standoff (2022). Год фишинга

По следам The Standoff (2022). Год фишинга

Многие впервые обо мне узнали как раз из публикаций о ходе самых первых Противостояний 2016-2019 годов, и помнят меня, как лидера команды You Shall Not Pass (не путать с новой командой Your shell not pass - об этом фишинге или совпадении я уже писал ). За 2016-2019 годы мы прошли интересный путь как команда защитников, команда SOC телеком-оператора и Интернет-провайдера, и как почти партнеры в организации The Standoff с командой Миши Левина (распорядитель игр тех годов). Много у нас было споров и при подготовке, и в ходе Противостояний, но сейчас это все вспоминается с улыбкой. 

В этом году я смотрел на Противостояние, как зритель. Поделюсь наблюдениями и сравнением с тем, как было "при мне".

name='more'>

1. Город существует без телеком-оператора и Интернет-провайдера. Скажем честно, и до этого сеть стала более-менее похожа на провайдерскую только в 2017 году, о чем я кратко написал в заметке . Но, похоже, затраты на ее организацию и поддержку со стороны Positive Technologies были существенно выше получаемого профита, потому что потом пошел спад комплексности. Ведь одной только правильной настройкой сети можно очень затруднить жизнь хакерам, и не дать реализовать скрытую задумку организаторов, как это было в 2017м. Как защищалась сеть, я описал здесь . Хотя, при правильном подходе, можно и это обернуть в профит для Позитивов. Мысли есть, но они пока останутся при мне.

2. Уровень красных команд, неплохо поднялся. Cейчас, судя по доступной мне статистике, количество шагов до реализации недопустимого события достигает 11 (12, если мерять kill chain аршином организаторов, которые самого хакера в Интернете считают первым шагом).

3. Визуализация kill chain. Сделано красиво, но, жаль, недоступно для зрителей из Интернет. По крайней мере, мне организаторы в телеграм-чате не ответили, где эту визуализацию можно увидеть в сети, поэтому пришлось самому собирать информацию о реализованных недопустимых событиях. За счет этого моя статистика немного отличается от официальной.

4. Явно прослеживается тенденция каждый год обращать внимание на те или иные направления ИБ. Например, 2016 год - АСУ ТП, 2017 год явно хотели показать небезопасность IoT, (но мне об этом не сказали, и насквозь дырявые устройства устояли за счет полностью пересобранной за неделю архитектуры сети полигона - см. ссылки в п. 1). Статистика атак 2022 года, на мой взгляд, показывает особую уязвимость любой инфраструктуры к фишингу.

Итак, перейду к статистике, которую наспех собрал и проанализировал в кафе после конференции.

На момент сбора информации я насчитал: 

5 атакованных организаций.

22 типа скомпрометированных систем в этих организациях, не считая промежуточные шаги.

60 недопустимых событий. Официально их 63.

26 типов (уникальных) недопустимых событий. Официально их 30, но реально, считаю, еще меньше (23), за счет слабой вариативности некоторых из них. Например, можно объединить в один уникальный тип:

  • "Утечка информации о перевозках", "Утечка конфиденциальной информации" и "Хищение данных о контрагентах". Конечно, можно придраться и категоризировать информацию о перевозках либо контрагентах, как коммерческую тайну, но тогда и информацию из хранилища геологических данных тоже стоило бы рассматривать пристальнее.
  • "Утечка персональных данных сотрудников" и "Утечка персональных данных офисных сотрудников". Второе - просто подвид первого.

4 основных пути проникновения:

  • Фишинг - 42 события (70%)
  • Эксплуатация уязвимости приложения внешнего периметра - 14 событий (23,3%)
  • Подключение к управляющему протоколу во внешнем периметре - 2 события (3,3%)
  • Брутфорс - 2 события (3,3%)

Итого, поверхностный анализ путей проникновения показывает, что большая часть успешно реализованных недопустимых событий зашла через пользователей, как наиболее слабое звено. 

Можно смело назвать 2022 год для The Standoff годом фишинга.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed